武汉国土局信息系统等级保护应用实践
来源:公安部信息安全等级保护评估中心 作者:admin 日期:2011年2月17日
为了推动等级标准的实际执行与实施,对计算机信息系统安全等级保护评估工具进行实际使用与测试,验证安全等级保护评估方法与思路,公安部启动了计算机系统安全保护等级评估试点。选择了四个省和两个部委的6个单位和行业进行试点。武汉市规划国土资源管理局(以下简称武汉市规划国土局)被确定为湖北省的试点单位。武汉市土地管理信息中心与公安部计算机信息系统安全产品质量监督检验中心一起对武汉市规划国土局内部网进行了全面的安全评估。依据《计算机信息系统安全等级保护评估准则》及相关等级标准,就评估结果对内部网的安全状况进行了分析和总结。
工作思路与评估方法
《计算机信息系统安全保护等级划分准则》将我国的计算机信息系统安全确定为5个等级,由低到高依次是“用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级”,对每一等级的计算机信息系统在物理安全、运行安全、信息安全等安全功能要素和安全保证等方面提出了具体技术要求。信息系统安全等级保护就是采用“调查—测试—评估—分析—改进”的工作步骤,对信息系统依照安全保护等级进行评估,确定信息系统的重点保护对象和保护等级,找出安全隐患,提出改进方案,提升系统安全保护措施,保障系统安全。
因为信息系统用户主要通过应用服务的方式访问被保护的重点对象,所以在评估过程中,以应用服务的访问途径为切入点,选取相应的路径进行安全要素的评测与分析。信息系统安全等级评估的技术部分主要包括以下两个方面:
安全要素评估:需要评估的安全要素包括:身份鉴别、自主访问控制、客体重用、完整性、审计。通过如下几种方式评估安全要素的实现状况:
对应用服务的工作流程、流程中所传输的数据内容、所经过的传输环节(客户终端、路由器、交换机、中心服务器节点)对数据采取的保护措施、应用服务支撑平台(如SQL Server 2000等)的安全状况、应用服务流程中各组件自身的安全状况进行调查。
根据验证方案,现场操作人员协助评估工程师完成一次全过程的应用服务。评估工程师根据此过程中所采取或所能采取的安全保护措施,确定安全要素在访问路径上的实现状况实施现场验证。
根据评估的结果,总结系统安全要素的实现状况,确定信息系统所达到的安全等级,提出可行的安全建议,并撰写完善的安全评估报告。
安全保证要求评估:安全保证要求评估主要以与协助人员交流,查阅并分析系统开发过程中相关的文档资料为主。考察的内容包括信息系统安全功能自身安全保护、密码支持、生命周期支持、配置管理、开发、测试、指导性文档、脆弱性分析、交付与运行等。
武汉市规划国土局信息系统网络拓扑结构一共划分为四个VLAN区域。其中VLAN14区域为武汉市规划国土资源管理局的各个分局和局属院所,VLAN
10、VLAN
11、VLAN12属于市局内网部分。 根据对信息系统的调查分析,确定将NAS服务和办公自动化应用服务作为评估的切入点,将信息系统划分为四个实体层面进行评价,即物理层面、计算机网络层面、系统层面、应用层面。物理安全体现为环境安全、设备安全、媒体安全。计算机网络层面主要包括交换机(cisco3500、cisco9300、cisco2950)和路由器。系统层面主要指服务器上的操作系统(Windows 2000 Server)与数据库系统(SQL2000 Server)。应用层面指实现应用服务的应用软件,包括NAS应用软件、办公自动化应用软件。
评估结果统计分析与评价
依据相关标准《GB17859-1999计算机信息系统安全保护等级划分准则》和《GA/T391-2002计算机信息系统安全等级保护管理要求》,按照管理要求第一级和第二级的评估标准的80项管理要求,武汉市规划国土局信息系统的安全管理评估结果中,满足要求的共计30项,部分满足要求的共计30项,没有满足要求的共计20项,对没有满足的管理要求,按照不适用、技术、预算、时间、文化、环境、其它等7个方面的原因进行了分析归类,其中不适用指评估原则不适用本系统;技术指由于安全管理技术不全面而没有考虑到的原因;预算指出于经费考虑没有实施的原因;时间指项目已列入计划,实施只是时间问题。
根据计算机信息系统安全等级保护管理的第一和第二级要求,武汉市规划国土局较好地实施了对其信息系统的基本管理,也基本实现了操作规程管理(分别对应于安全保护等级中的用户自主保护级和系统审计保护级)。评价具体如下:
管理目标和范围方面:有统一的安全管理机构以及较完整的安全管理计划,但计划还不全面,如安全管理计划并没有涉及风险管理的内容。安全目标和安全范围具体,有详细的安全管理文档描述和说明,对信息系统的网络、物理设备以及自主开发应用系统实施了生命周期的全程管理,制定了设备购买及其安全操作方面的操作规程,但安全操作规程尚不完善。
人员与职责要求方面:安全管理机构符合要求,任命了安全管理员,并赋予其相应的安全管理权限。安全管理员都有一定的专业技术水平,安全负责人在安全工作方面具有相应的经验和技能,并且都基本履行了相应的职责,但在风险分析和安全性评估方面的工作有所欠缺。
物理安全管理要求方面:信息中心建立了物理安全区,机房是专用机房,还为服务器建立一个单独的隔离机房。而且此机房的物理安全防护措施在防火、温度控制、防盗、出入监控方面较完备,但对一些必备的物理安全措施没有很好实现,如湿度控制,物理安全管理工作由几个相关部门协同负责完成,而且也具有物理安全管理规章制度,并据此制定了相应的物理设施的操作流程。对所有设备建档立卷,实现了对物理设施的分类编目以及严格的登记制度。
系统安全管理要求方面:系统安全管理方面的工作主要由信息中心网络室工作人员负责,其对操作系统和数据库系统进行了日常的安全管理。具有对操作系统和数据库的安全配置和备份方面的安全管理规章制度,操作系统和数据库系统及其信息资源实际也得到了安全的备份,但没有针对操作系统和数据库系统的配置和备份等方面的操作规程,且经实地验证,操作系统和数据库系统均为默认安装配置,存在安全隐患。系统授权用户使用唯一的用户名和口令访问系统资源,但没有对用户口令复杂度的规定,实际存在较多弱口令。采取一定的措施,如统一分发系统工具和拆卸光驱,对系统进行授权管理和变更控制。系统管理员开展了一定的系统安全性维护工作,但经漏洞扫描验证有服务器存在安全配置方面的漏洞。
网络安全管理要求方面:由网络管理室工作人员负责网络环境安全管理工作,网络管理员具体履行对网络安全措施的日常管理,对网络连接和网络安全措施等方面实施安全性检查。具有关于网络配置和网络接入方面的安全管理规定,但没有制定网络使用和网络服务方面的策略。利用授权制度和机制实现用户对网络的安全访问控制,实现对网络配置的变更控制,但经实地验证,网络交换机和路由器的口令为空口令,存在严重的安全隐患,同时也没有对网络访问和网络安全事件等进行安全审计,也缺乏网络安全事件报告流程,以及相应的应急计划。网络设施实施了必要的备份。每年对网络用户实施安全教育和培训。
应用安全管理要求方面:网络管理室工作人员负责应用系统的安全管理,对应用系统进行安全配置和备份,维护工作由系统开发室负责完成,但都没有制定相关的规章制度。数据库应用软件自主开发,有配套的技术和操作文档,经验证管理人员基本据此实施对应用系统的管理。依据部门划分对应用系统数据和信息进行分类管理,并利用授权和访问控制机制保证信息的安全共享和发布,但没有与授权用户签署授权许可以及安全协议。经验证对应用系统及数据实施了有效地备份,但缺乏明确的备份计划和应急计划。
运行安全管理要求方面:制定了信息中心安全生产管理规定,并制定了部分管理制度,但没有对这些规定和制度进行完善。确保运行安全而采取的方法和措施有物理监控、备份、容错以及病毒检测和防护,经验证均运转正常,但信息系统感染病毒情况较多。信息中心实行网络值班制,负责对信息中心运行安全的监督和检查。经验证每年举办安全方面的培训,但没有制定特别明确的计划。经验证明确了系统安全管理员和普通用户的访问权限以及其对各类资源的责任,并有相应的管理。对应用软件的采购、安装和使用等方面实施批准和授权制度。对外部服务方访问信息系统实施人员监督,但没有签署安全保密合同,也没有对其可能带来的安全性问题进行安全性评估。实现了良好的自动化备份,且有专人负责,但备份制度还有待于完善。
系统安全建议
对照计算机信息系统安全等级保护的要求,要满足第一级要求,必须在一些方面进行改进,如:制定整体全面的安全管理计划,以进一步明确安全目标和范围;建立和健全对物理、系统、网络、应用和运行制定安全规章制度,并不断修订和完善;充分考虑到对安全管理员作安全管理的职责规定和实际履行要求;根据分类编号对物理设备加上识别标签;加强出入管理保证运行安全,建议被测单位信息中心工作人员佩戴识别标志(比如胸牌等标志)等。
要达到计算机信息系统安全等级保护管理第二级安全要求,还应该进行这样一些改进:制定针对物理安全、网络安全、系统安全、应用系统安全和运行安全几方面的具体安全操作规程,内容可涉及安全使用、安全配置、变更控制、安全分析、安全事件处理、以及安全培训等;制定安全策略,特别在网络安全管理方面要制定网络使用和网络服务的策略要求。网络安全管理要求、应用系统安全管理要求以及运行安全管理要求方面开展相应的风险分析和安全性评估等风险管理;建立网络安全事件报告流程及相应应急计划,实施对信息系统的应急响应,不断对其可行性进行验证;更换服务器和网络设备的弱口令及其默认配置。操作系统自身默认的简单审计功能不能满足多方面的审计要求,要对操作系统、数据库应用系统以及网络的使用、访问、配置和变更作安全方面的审计,并指定专人负责此方面的工作;严格取消内网Modem与外网的连接,并进一步严格控制光驱的安装,以防病毒侵入以及黑客攻击;丰富和完善病毒防护体系的使用管理规定。对应用系统关键岗位的工作人员实施资质管理;与应用系统的授权用户签署授权许可书和安全协议,并且在制定外部服务方访问被测单位信息系统的安全制度时,包括并实施与外部服务方签署安全保密协议或合同这一项的内容;建立严格的运行过程管理文档,并保证所有文档的一致性。
